[发明专利]面向信任增强的网络部署架构及其网络访问方法

说明书

本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDP AH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护，并降低安全开销。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种面向信任增强的网络部署架构及其网络访问方法。

背景技术

SDP是由云安全联盟(Cloud Security Alliance，CSA)面向零信任网络(ZeroTrust Network,ZTN)环境于2013年提出的新型通用网络防御方案，其本质是一种利用软件定义逻辑组件在网元间构建基于身份的安全边界的增强型访问控制架构，主要由SDP控制器、应用网关(SDP Accept Host，SDP AH)及连接发起主机(SDP Initial Host，SDP IH)组成，可用于隐藏域内服务，最小化网络攻击表面，若将SDP架构直接移植套用部署于现有网络，不仅无法兼顾对网络本身的防护，还将带来较多安全开销。

发明内容

为了加强网络本身的安全防护，本发明提供一种面向信任增强的网络部署架构及其网络访问方法。本发明通过改良SDP架构向现有网络适应性融合的部署模式，从而在为接入网络的终端设备提供认证管控外，还可为网络本身的交换设备提供额外保护，此外本发明还改进了对接入域内的终端设备的信任初值授予方式。

一方面，本发明提供一种面向信任增强的网络部署架构，包括：第一级SDP AH和第二级SDP AH；所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间，所述第二级SDPAH串联部署于边缘交换设备和PE之间；所述SDP AH表示SDP应用网关，所述SDP IH表示SDP连接发起主机，所述PE表示供应商边缘节点；所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑，所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。

另一方面，本发明还提供一种基于上述的面向信任增强的网络部署架构的网络访问方法，所述方法包括：

步骤1：SDP控制器上线，并连接至SDP应用；

步骤2：在SDP控制器和第一级SDP AH之间，以及在SDP控制器和第二级SDP AH之间分别建立mTLS连接；

步骤3：将待接入网络的SDP IH预先接入应用平面的网络代理身份验证组件，以供所述网络代理身份验证组件读取所述SDP IH的安全信息项并录入网络代理安全信息库；

步骤4：待接入网络的SDP IH向第一级SDP AH发送SPA认证包，以供所述第一级SDPAH通过其连接的域入口交换设备将所述SPA认证包直接转发至SDP控制器；

步骤5：SDP控制器接收到所述SPA认证包后，调用应用平面的身份认证授权组件以供其根据所述SPA认证包认证所述SDP IH的身份，若认证通过，则向所述SDP IH授权其可访问的SDP AH列表、临时访问凭据及策略；

步骤6：SDP控制器通过mTLS连接向所述SDP AH列表中的所有SDP AH通告已授权的SDP IH身份、临时访问凭据及策略；

步骤7：第一级SDP AH向所述SDP IH通告其可访问的SDP AH列表、临时访问凭据及策略；

步骤8：所述SDP IH使用所述临时访问凭据和SPA认证包与第一级SDP AH建立mTLS连接。

进一步地，所述方法还包括：